03/01/2023
明けましておめでとうございます、KDDI台湾のエンジニアです。
2023年もよろしくお願い致します。
さて最近サイバー攻撃の脅威が増えていますが、皆さんの会社では情報セキュリティを強化したいと考えていますか?
答えがYESの場合、EDRは新しい選択肢です。
答えがNOの場合でも、後半でなぜウィルス対策ソフトを更新する必要があるか、ご説明します。
EDRの正式名称は、Endpoint Detection and Response(エンドポイントにおける検知と通知)です。
EDRをどこに置けばいいか?それは皆さんの日々仕事で使っているパソコンです。従来のウィルス対策ソフトと同じです。
EDRのメリットは何か?少し話が長くなりますが、これから解説します。
EDRの役目の一つは、デバイス内に怪しいソフトウェアやプログラムがないかを監視することです。
セキュリティインシデントが発生した場合、EDRはデータの損傷をなるべく減らしつつユーザーに通知します。
ここまでの働きは従来のウィルス対策ソフトウェアと同じですが、実はEDRには仲間がいます。XDRとMDRです。
EDRは自分の役割を果たしたら、次はXDRの出番です。
XDRも略称で、正式名称はExtended Detection and Response(拡張検知と通知)です。
XDRはEDRからのデータに基づいて、潜在的な脅威をシミュレーションします。
XDRでよく使われる技術は機械学習と人工知能です。
XDRが作ったシミュレーション結果は、EDRが集めたデータと一緒にMDRに渡されます。
MDRもまた略称で、正式名称はManaged Detection and Response(管理された検知と通知)です。
MDRとEDR・XDRとの最大の違いは、人間の出番があるということです。
よく見かける構成としては、EDRの提供会社には専門の監視とサイバーセキュリティチームがあります。
この監視とセキュリティチームは、システムの監視側でクライアントのデバイスに異常ありの通報を受けたら、必要な対応をはじめます。
人間によりEDRとXDRで集めたデータを分析し、ユーザーにセキュリティ上の助言を提供します。
セキュリティインシデント発生時の流れとしては、おおよそこうなります:EDR→XDR→MDR
ではなぜ買い切りタイプのウィルス対策ソフトがあるのに、EDRなどのソリューションが必要なのでしょうか?
それはインターネットが普及し依存度が上がるにつれて、サイバー攻撃の手法もますます複雑で組織化されたものになってきているからです。
従来の買い切り方式のウィルス対策ソフトでは、ウィルス定義ファイルはユーザーで更新頻度を決めます。
更新しないまま放置することも多く、放置すると次第に大きなセキュリティホールとなってしまいます。
それに対し、EDRは自動でセキュリティインシデント定義をアップデートしていく小型のプログラムなので、安心です。
さらに、従来のウィルス対策ソフトを使ったことがある方にはもう一つの課題があると感じます。
それは、アップデート回数を重ねるとだんだん動作が重くなるという点です。
EDR→XDR→MDRの組み合わせでは、検知とデータ損傷軽減のコンテンツだけをユーザーのパソコンに置き、そのほかの分析のような仕事はネットワーク経由でクラウド上に送ります。
そのためパソコンの動作が重くなっていくようなことはありません。
ここまで聞くと、EDRの方が現在の情報セキュリティの基準にあうと思いませんか?
EDRはネットワークに繋ぐため、ネットワーク環境は必須です。
また費用の支払い方式はサブスクリプション制が多く、デバイスの数に合わせて値段が変わります。
サブスクリプション制と聞いてランニングコストを心配する方もいると思いますが、製品によって費用感も変わってきます。
もしご興味がありましたら、ぜひKDDI台湾までご相談ください。
予算とニーズに合わせてソリューションをご提案いたします。
新年快樂!! 很高興又見面了。我是KDDI台灣的工程師。
最近資安攻擊越來越猖狂
公司是否有在考慮加強資安呢?
如果有,那EDR是現在的新選擇,今天就來談談EDR。
若目前沒有概念,後面也會提到為什麼防毒軟體需要更新的原因。
首先
EDR是一個簡稱,全名叫做"端點偵測與回應"(Endpoint Detection and Response)。
EDR裝在哪邊呢?您的辦公電腦內,如同單機版防毒軟體裝在各位的電腦裡面一樣。
EDR好處在哪邊呢?且聽我慢慢道來。
EDR平常的工作是偵測裝置內是否有可疑的軟體或程式。
如果發現威脅、EDR會啟動自己帶的工具去減少資料的損害並通知使用者。到這邊為止跟傳統的單機版防毒軟體一樣。
其實它還有兩個同伴、叫做XDR與MDR。
EDR完成任務後下一步會交棒給XDR。
再來
XDR全名叫做"擴展式偵測與回應"(Extended Detection and Response)。
XDR會開始根據收到的資料模擬並預測是否有潛在威脅,通常XDR的模擬都是由機器學習與人工智慧進行。
XDR做好的資料會跟EDR的資料一起給MDR。
最後
MDR全名叫做威脅偵測應變(Managed Detection and Response),跟EDR、XDR不同的是、這個MDR是由人類來進行的功能。
通常是一個EDR服務提供的公司有一個監視與資安的團隊,在系統監視側發現客戶的裝置上出現異常通報時會開始進行應對。由人類來分析EDR與XDR的資料,並且對使用者提出資安防護上的建議。
發現威脅時的對應大概可以這樣表現:EDR→XDR→MDR
為什麼已經有了單機版防毒軟體,還需要EDR等解決方案呢?
因為隨著社會從網路的普及與依賴度增加,網路攻擊的手法也更加複雜且有組織性。
傳統單機版防毒軟體的病毒定義檔是由使用者自己更新,也可以選擇不更新就放著,放著放著就變成了資安漏洞。
EDR是會自動更新自己的威脅定義的小程式。但是,用過傳統防毒軟體就會知道這裡還有一個問題。
那就是,傳統防毒軟體越來越吃電腦的資源、導致電腦很慢。
EDR→XDR→MDR這個組合只有把偵測與降低損害的內容放在使用者電腦上,其他如分析等工作則透過網路傳回雲端。
也因此不會對電腦的效能產生令人困擾的影響。
最後
聽到這裡,是否覺得EDR會比較適合新潮流的資安標準呢?
EDR因為會連上網路,所以網路環境是必要的。
另外是收費方式,主流都是裝置數採取訂閱制。
聽到訂閱制可能會很擔心運作成本的問題,這部分的話每家公司的收費方式略有不同。
如果有興趣的話,歡迎和我們連繫,我們會依照您的預算與需求選擇最適合的產品。
(Tel: +886-2-2562-7001)
#情報セキュリティ #資訊安全
